[Gelöst] FW 6.50 für 7490 in Trunk rev. 13490 - keine Auswahlmöglichkeit

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
Hey Leute,

hab schon länger kein Freetz mehr compiled. Hab hier ne 7490 mit 6.51 drauf. Geht das jetzt ohne Umwege dafür Freetz zu bauen oder was wurde da von AVM geändert ...?
 
Bauen geht wie im Wiki beschrieben. Da hat sich nichts geändert, aber wenn du schon ein 6.5x auf der Box hast, dann mußst du auf mindestens 6.30 recovern. Die Box akzeptiert ab der 6.5x kein modifiziertes Image mehr über das AVM-Update-WebIF.
 
Soweit ich weiß werden unter 06.50 noch unsignierte Images akzeptiert, die Änderung kam erst mit 06.51 bzw aktuellen 06.36 Labor.
 
d.h. das einspielen eines unsignierten image ist trotzdem weiterhin über das freetz-webif möglich?

aktuell läuft auf meiner 7490 06.50-freetz-devel-13599. da ich ein paar pakete wechseln wollte habe ich beim build-vorgang entdeckt dass das neue image auf 06.51 gebaut wird.
sind ab einem gefreezten 06.51 dann weiterhin updates via freetz-webif möglich oder generell garnicht mehr (händische methoden mal ausgenommen), zumindest ohne umweg des downgrades auf 06.50?
 
Die Prüfung einer Signatur erfolgt nur, wenn das neue Image über das AVM-GUI (über firmwarecfg) auf die Box kommt. Das ist bei Freetz nicht der Fall ... damit stellt sich diese Frage gar nicht - jedenfalls solange nicht, wie niemand auf die Idee kommt, eine derartige Prüfung auch in Freetz zu implementieren.
 
Im Prinzip ist die Idee vom Sicherheitsgedanken gar nicht so schlecht! (wobei jeder natürlich sein individuell erstelltes Schlüsselpaar hat)
 
PeterPawn schrieb:
Das ist bei Freetz nicht der Fall
Zum Vergrößern anklicken....

also bleibt für uns, die via freetz-webif updaten auch mit 06.51+ alles beim alten und die 'problematik' besteht nur bei ungefreezten boxen die bereits auf 06.51 stehen?

andiling schrieb:
Im Prinzip ist die Idee vom Sicherheitsgedanken gar nicht so schlecht! (wobei jeder natürlich sein individuell erstelltes Schlüsselpaar hat)
Zum Vergrößern anklicken....

da verbummel einmal durch was auch immer deine keys. glaube angriffe mit kompromittierten images sind eher selten, obwohl ich mir da durchauch szenarien vorstellen könnte...
 
Zuletzt bearbeitet:
Was wäre der Vorteil (ich nehme mal an, wir reden von einer eigenen Signaturprüfung für Freetz und nicht für über die Anpassung des AVM-Mechanismus) gegenüber einer ordentlichen Absicherung des Zugangs über Freetz zu dieser Update-Funktion? Solange niemand an dieses Upload-Formular kommt, kann er Dir auch keine andere Firmware "unterjubeln".

Allerdings gehört dann natürlich wieder die Umstellung des Freetz-GUI ebenfalls auf eine sichere Verbindung dazu ... ich weiß allerdings nicht einmal, ob der von Freetz verwendete httpd der Busybox auch mit "digest auth" klarkommt, damit da wenigstens keine Kennwörter im Klartext (oder zumindest nur notdürftig mit Base64 verschleiert) verwendet werden müssen. Einen TLS-Layer gibt es aber m.W. an dieser Stelle noch nicht einmal optional, solange man ihn nicht selbst mit einem TLS-Wrapper (z.B. stunnel) nachrüstet.

Solange jedenfalls ein Unbefugter überhaupt auf die Box gelangen kann (um den Upload der Firmware zu starten), kann er in aller Regel auch auf anderem Weg (notfalls über den Start und die Benutzung von Telnet - was dann m.W. wieder über das Freetz-GUI machbar wäre) so weit in die Box eindringen, daß er auch die Verifikation so einer Signatur manipulieren kann. Das wäre (meine Meinung) also verschenkter Aufwand an einer Stelle, wo eine Umgehung kinderleicht wäre.

Die AVM-Signaturprüfung soll ja auch nur die Urheberschaft sicherstellen bis zum Beginn der Installation ... darüber hinausgehende Überprüfungen der Integrität (zur Laufzeit) gibt es nicht - damit also auch keine Erkennung von nachträglichen Manipulationen.

In der anderen Richtung gäbe es ja auch heute schon die Möglichkeit, mit einer Verschlüsselung über den Public-Key aus dem Zertifikat der Box eine Firmware zu erstellen, die genau auf einem einzelnen Gerät entschlüsselt und installiert werden kann ... nämlich auf dem mit dem passenden Private-Key.
 
Zuletzt bearbeitet:
Zur Frage: der Einstieg zu freetz muss mit einer Firmware bis max. 06.50 erfolgen. Das ist für alle Boxen bisher kein Problem, später einmal wenn die Basisfirmware >06.50 ist, muss man halt z.B. den von @PeterPawn an anderer Stelle aufgezeigten Weg wählen.

Was ist der Vorteil, dass AVM die Signaturprüfung eingeführt hat? Hierzu gab es ja mal einen Beitrag und der Grund wäre hier der Gleiche, nämlich um Angriffen von innerhalb des Heimnetzes zu begegnen. Zumindest ist es eine zusätzliche Sicherheit und der Weg vom Zugang des WebIF zu telnet ist dann doch noch ein recht holpriger (wenn auch nicht unmöglicher).
 
andiling schrieb:
Was ist der Vorteil, dass AVM die Signaturprüfung eingeführt hat?
[..]
nämlich um Angriffen von innerhalb des Heimnetzes zu begegnen. Zumindest ist es eine zusätzliche Sicherheit ...
Zum Vergrößern anklicken....

Das ist vermutlich nicht der wirkliche Grund.

Es kommt eher von neuen Regulierungen von US-Behoerden, die nun anfangen in die EU zu schwappen. Es soll naemlich durch Hersteller (wie AVM) vermieden werden, dass man in der Firmware Aenderungen vornehmen, so dass das WLAN ausserhalb erlaubter Standards arbeitet. Sendeleistung, Frequenzband und Kanaele usw.

Daher ist nun auch AVM mehr und mehr gezwungen, Manipulationen an der Firmware zu unterbinden, um sich den Zugang zum internationalen Markt zu erhalten.

Andere Loesung dazu wäre, die WLAN-Adapter aus der Box raus zu nehmen und einen externen WLAN-AP zu benutzen. Dann sollte es wieder gehen.

Gruss

Goggo
 
Diese Bestrebungen der Funkregulierung auf diesem Wege durchsetzen zu wollen, ist genauso witzlos ... da sich die regulatorischen Bestimmungen schon in Europa von Land zu Land unterscheiden, müßte man in diesem Falle schon parallel sicherstellen, daß die Ländereinstellung (wenn denn so ein Gerät "für den internationalen Markt" mehrere Länder unterstützen soll) auch zum tatsächlichen Standort des Routers paßt - sonst ist da gar nichts gewonnen.

Zwar existieren solche Bestrebungen tatsächlich, aber das WLAN in der FRITZ!Box war noch nie so richtig geeignet als Baustelle für eigene Basteleien. Wieviele "Anleitungen" kennst Du, die sich mit dem WLAN der FRITZ!Box befassen? Von der (teils sogar wirkungslosen) Änderung irgendwelcher "TX-Power"-Einstellungen mal abgesehen, die man auch schon mit der Lupe suchen muß ... diese erfolgen in (fast) allen diesen Anleitungen auch über die Einstellungsdateien und diese sind gegenwärtig von diesen Beschränkungen noch überhaupt nicht betroffen.

Ich lese zwar auch immer wieder, daß jemand in der besseren Absicherung des FRITZ!OS einen Zusammenhang zur demnächst in Kraft tretenden EU-Regelung und zu den (im eigenen Land inzwischen schon wieder relativierten) Regelungen in den USA sehen will ... aber die FRITZ!Boxen in den USA kannst Du vermutlich an einer Hand abzählen - na gut, mehr als fünf werden es vielleicht sein, wenn die Zahl allerdings fünfstellig sein sollte, wäre das in meinen Augen eine faustdicke Überraschung ... ich bin mir nicht einmal sicher, daß die FRITZ!Boxen mit externem ISDN überhaupt uLaw für das dortige ISDN-Netz (auch das ist ja eher dünn) beherrschen.

Auch die Tatsache, daß bisher noch gar keine Manipulationen an der Firmware unterbunden werden (das ist doch alles mehr oder weniger Spaß und kann niemanden ernsthaft von Veränderungen der Firmware abhalten), spielt bei dieser (meiner) Betrachtungsweise eine entscheidende Rolle ... was aber sehr wohl tatsächlich verbessert wird, ist der Schutz des FRITZ!OS gegen wildgewordene (W)LAN-Clients - dieser ist noch lange nicht umfassend, aber es wird von Version zu Version eben besser und mehr kann man nicht erwarten.
 
Peter,

schon klar. Daher hatte ich auch meine Aussage mit "Der Grund ist eher ..." oder "vermutlich ..." eingeleitet.

Die davon betroffene, und auch genannte Firma ist TP-Link. Und mit deren WLAN-Routern war das Erhoehen der Sendeleistung meiner Kenntnis nach fuer manche Modell auch moeglich.

AVM reagiert hier vielleicht nur mit vorauseilendem Gehorsam. Abgesehen davon will sich AVM durch Beibehalten der bisherigen Vorgehensweise nicht der Chance berauben, mal den US-Markt zu erobern.

Das allerdings AVM auch dabei ist, die Boxen zu "härten" um vor fahrlässigen oder auch vorsätzlich verursachten Sicherheitsproblemen zu schützen, ist verständlich. Es gibt nur wenige (hier im Forum wohl sehr viele, aber auch nicht alle), die wissen was sie tun. Es gibt aber sehr viele, die unter dem "Das-klingt-geil-Gedanken" einfach mal was Flashen und dann wild updaten ohne sich über die Folgen klar zu sein.

Gruss

Goggo
 
Könnte das mal jemand prüfen, warum die Auswahl FREETZMOUNT und Automount filesystems unter Other patches nicht mehr angezeigt wird beim 06.51 und somit nicht eingebaut wird

Danke
 
Zuletzt bearbeitet:
PeterPawn schrieb:
ich bin mir nicht einmal sicher, daß die FRITZ!Boxen mit externem ISDN überhaupt uLaw für das dortige ISDN-Netz (auch das ist ja eher dünn) beherrschen.
Zum Vergrößern anklicken....

Da ist noch einiges anders, z. B. nur 56 kbit/s im Nutzkanal und anderer Aufbau der Kanäle am Basisanschluss
 
@thtomate12:
Schon klar ... NI-1 und NI-2 und die Unterschiede in den ISDN-Implementierungen (auch in D hatten wir ja mit 1TR6 unseren Vorläufer vor der Standardisierung durch die ETSI) kenne ich alles auch noch aus der Zeit, als man Telefonie in nennenswertem Umfang auf Servern noch mit der Hardware von Dialogic realisierte - das war so 2000-2005 mein hauptsächliches Betätigungsfeld, inkl. Spracherkennung und TTS.

Aber ich wollte nur ein einziges (nachvollziehbares) Unterscheidungsmerkmal zum ISDN in den USA (und m.W. in Japan) anführen, das "griffig" ist und das jeder nachvollziehen kann.
 
Hallo,

Als stiller Mitleser seit langer Zeit und dankbarer Nutzer von PeterPawns modfs_7490.tgz und Partitionen-Switch-Skirpt musste ich mich nun doch mal anmelden um eine Frage an die hier versammelten Experten loszuwerden: Wie gismotro richtig bemerkt hat lässt sich ftdi_sio.ko ja nun bauen (hab ich auch schon geschafft). Wie krieg ich das Modul nun aber in den 6.50 Kernel reingeladen?

Erstens muss ich dazu ja mal das Image um ftdi_sio und andere Module erweitern, das könnte doch evt ähnlich modfs_7490.tgz gehen?
Zusätzlich müssen sicherlich noch einige Dateien wie modules.alias modifiziert werden. Weiß da jemand genaueres? gismotro, bist du da schon weiter und hast die Module erfolgreich geladen?
 
bmaehr schrieb:
gismotro, bist du da schon weiter und hast die Module erfolgreich geladen?
Zum Vergrößern anklicken....
Auch ich bin hier leider auf die Fachleute vom Freetz-Team angewiesen. Mein Wissen beschränkt sich hier leider auch auf ein Minimum. Testen und Problieren kann ich, aber bei der Fehlereingrenzung oder ggf. Behebung muß ich immer passen.
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 766 (Mitglieder: 24, Gäste: 742)

Neueste Beiträge

Statistik des Forums

Themen
244,883
Beiträge
2,220,115
Mitglieder
371,616
Neuestes Mitglied
MBro
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück